Storm-0900: campanha massiva de phishing usa falsos tickets e exames | Cyber ataques

Microsoft Threat Intelligence detectou e bloqueou uma campanha massiva de phishing (Storm-0900) que enviou dezenas de milhares de e-mails com temas de multa e exames, direcionando vítimas a uma landing page com falso CAPTCHA que validava interação antes de entregar XWorm.

Uma campanha de alto volume atribuída ao conjunto de acesso que a Microsoft chama de Storm-0900 enviou dezenas de milhares de mensagens durante o período de Thanksgiving, usando temas de aviso de multa de estacionamento e resultados médicos falsos para induzir cliques.

Resumo e escopo

Microsoft Threat Intelligence detectou e bloqueou a operação em 26 de novembro; os analistas relataram que a campanha consistiu em "tens de milhares" de e-mails distribuídos nos Estados Unidos e foi interrompida por filtros e ações proativas sobre a infraestrutura do atacante.

Engenharia social e técnica de fraude

Os e-mails redirecionavam vítimas para uma landing page hospedada em permit-service[.]top. A página simulava um CAPTCHA de arrastar um slider — aparentemente legítimo — que servia como validação de interação do usuário: somente alvos que completassem o desafio eram considerados prontos para entrega de payloads.

Ao validar a interação, a infraestrutura comprometida entregava XWorm, uma plataforma modular de acesso remoto (RAT) capaz de carregar plugins para persistência, exfiltração e execução remota. A modularidade do XWorm permite adaptar a carga útil ao objetivo do operador.

Impacto e mitigação pela Microsoft

A Microsoft reportou que o bloqueio da campanha foi conseguido por uma combinação de filtragem de e-mail, proteções em endpoints e bloqueio proativo da infraestrutura de comando e controle. Essas ações evitaram que a maioria das mensagens chegasse às caixas de entrada e impediram o acesso à landing page maliciosa para muitos destinatários.

Por que a campanha funcionou

Temas oportunistas: o uso do feriado (Thanksgiving) e de comunicações que geram urgência (multa, resultado médico) reduz a atenção do usuário.
Interação falsa: o falso CAPTCHA filtra alvos humanos e aumenta a taxa de sucesso de entrega de malware.
Modularidade do malware: XWorm permite aos operadores ampliar privilégios e manter persistência após a infecção inicial.

Recomendações para equipes de segurança

Bloqueio de domínios e monitoramento de URLs: atualizar listas de bloqueio e usar análise de reputação para domínios como permit-service[.]top.
Filtragem de e-mail em camadas: combinar filtragem baseada em heurística, análise de links e sandboxing de anexos e URLs.
Detecção de comportamento: monitorar criação de processos suspeitos (especialmente que iniciem conexões remotas) e atividade associada a RATs modulares.
Treinamento focalizado: campanhas de conscientização antes de períodos de alto risco (feriados) e simulação de phishing com temas similares.

Limitações das informações

A cobertura indica que a Microsoft interrompeu grande parte da operação, mas as fontes não detalham contagem exata de vítimas comprometidas nem a geografia por além dos EUA. Também não há atribuição firme a um ator além da designação Storm-0900 usada por Microsoft Threat Intelligence.

Contexto operacional

Campanhas de phishing em grande escala permanecem uma das formas mais eficazes de inicializar intrusões, especialmente quando combinadas com técnicas que confirmam interação humana antes da entrega de malware. A modularidade do XWorm torna incidentes desse tipo mais perigosos por permitir escalonamento pós-comprometimento.

Fontes: Microsoft Threat Intelligence (relatado por Cyber Security News).